Los investigadores de ciberseguridad han llamado la atención sobre una nueva campaña que está explotando activamente una falla de seguridad crítica recientemente revelada en Langflow para entregar el Flodrix Malware Botnet.
«Los atacantes usan la vulnerabilidad para ejecutar scripts de descarga en servidores Langflow comprometidos, que a su vez obtienen e instalan el malware Flodrix», dijeron los investigadores de tendencia aliakbar Zahravi, Ahmed Mohamed Ibrahim, Sunil Bharti y Shubham Singh en un informe técnico publicado hoy.
La actividad implica la explotación de CVE-2025-3248 (Puntuación CVSS: 9.8), una vulnerabilidad de autenticación faltante en Langflow, un «marco visual» basado en Python para construir aplicaciones de inteligencia artificial (IA).
La explotación exitosa de la falla podría permitir a los atacantes no autenticados ejecutar código arbitrario a través de solicitudes HTTP diseñadas. Fue parcheado por Langflow en marzo de 2025 con la versión 1.3.0.
El mes pasado, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) marcó la explotación activa de CVE-2025-3248 en la naturaleza, con el Instituto Sans de Tecnología revelando que detectó intentos de exploit contra sus servidores de honeypot.
Los últimos hallazgos de Trend Micro muestran que los actores de amenazas están apuntando a las instancias de flujo de Langflow expuestas a Internet que aprovechan un código de concepto de concepto (POC) disponible para llevar a cabo un reconocimiento y soltar un descargador de scripts de shell responsable de recuperar y ejecutar el malware Flodrix Botnet de «80.66.75 () 121: 25565». «
Una vez instalado, Flodrix establece comunicaciones con un servidor remoto para recibir comandos a través de TCP para lanzar ataques distribuidos de denegación de servicio (DDoS) contra direcciones IP de interés objetivo. Botnet también admite conexiones a través de la red de anonimato TOR.
«Dado que Langflow no impone validación de entrada o sandboxing, estas cargas útiles se compilan y ejecutan dentro del contexto del servidor, lo que lleva a (ejecución de código remoto)», dijeron los investigadores. «Según estos pasos, el atacante probablemente esté perfilando todos los servidores vulnerables y usa los datos recopilados para identificar objetivos de alto valor para futuras infecciones».
Trend Micro dijo que identificó a los actores de amenaza desconocidos para que organicen diferentes scripts de descarga en el mismo host utilizado para buscar Flodrix, lo que sugiere que la campaña está experimentando un desarrollo activo.
Se evalúa que Flodrix es una evolución de otra botnet llamada Leethozer que está vinculada al grupo Moobot. La variante mejorada incorpora la capacidad de eliminarse discretamente, minimizar las trazas forenses y complicar los esfuerzos de análisis al ofuscar las direcciones del servidor de comando y control (C2) y otros indicadores importantes.
«Otro cambio significativo es la introducción de nuevos tipos de ataque DDoS, que ahora también están encriptados, agregando una capa adicional de ofuscación», dijo Trend Micro. «La nueva muestra también enumera notablemente los procesos de ejecución al abrir /Proc Directory para acceder a todos los procesos de ejecución».
